Le compte à rebours est lancé pour Keyfactor Tech Days | Réservez votre place dès aujourd'hui !

  • Accueil
  • Blog
  • PKI
  • Exigences clés en matière de cybersécurité pour le NIS2 : gestion des certificats&. PKI

Exigences clés en matière de cybersécurité pour le NIS2 : gestion des certificats&. PKI

PKI

La cybersécurité est aujourd'hui une priorité absolue pour chaque individu et chaque organisation. Et comme la numérisation continue de progresser, la menace des cyberattaques augmente également - ce qui rend la conformité aux règles de sécurité plus cruciale que jamais.

Dans ce contexte, les organisations doivent commencer à se préparer à la NIS2un cadre actualisé de l'Union européenne destiné à renforcer la sécurité et la résilience des infrastructures critiques.

Pour aider les équipes de sécurité à conformité NIS2Keyfactor a récemment animé un webinaire consacré au renforcement de la cybersécurité par une gestion robuste des certificats et une infrastructure à clé publique (PKI). Plus précisément, nous avons discuté de la définition élargie de l'infrastructure critique dans le cadre de la directive NIS2 et des principales exigences de cybersécurité pour la conformité, de la manière dont PKI et les certificats numériques sont essentiels pour établir la confiance et des communications sécurisées, et du rôle de la gestion des certificats et de la sécurité PKI pour permettre la conformité et renforcer la défense contre les cyber-menaces.

Lisez la suite pour un résumé de notre discussion, ou cliquez ici pour visionner l'intégralité du webinaire.

Introduction au NIS2

Nous connaissons plus d'incidents cybernétiques que jamaiset les types de menaces ne cessent d'évoluer. Dans ce contexte, les organisations de toutes sortes doivent être prêtes à gérer efficacement les risques et à partager les informations sur les incidents potentiels afin de garantir une réponse appropriée.

La directive NIS2 aborde ce paysage en évolution, et avec la date limite de septembre 2024 pour la mise en œuvre par les États membres de l'UE approchant rapidement, les organisations doivent commencer à planifier et à budgétiser pour adapter leurs pratiques de sécurité en conséquence. Voici un aperçu de ce que vous devez savoir pour commencer :

Comment le NIS2 améliore-t-il et développe-t-il le NIS1 ?

Au cours des sept années qui se sont écoulées depuis l'entrée en vigueur du NIS1, des événements mondiaux tels que le COVID, des perturbations de la chaîne d'approvisionnement et des changements géopolitiques ont mis en évidence des vulnérabilités en matière de sécurité qui ont conduit à un nombre croissant d'incidents. En outre, la mise en œuvre du NIS1 par les États membres de l'UE a été très divergente, ce qui a semé la confusion, notamment en raison d'un manque de clarté sur les seuils nécessaires pour la mise en conformité.

Le NIS2 vise à remédier à ces problèmes. Plus précisément, le NIS2 a déjà fait l'objet d'une plus grande collaboration entre les États membres, il inclut davantage de secteurs pour étendre la couverture à environ 20 fois plus d'organisations que le NIS1, et il adopte une approche de la carotte et du bâton pour l'application similaire au GDPR en introduisant des mesures plus punitives en cas de non-conformité.

Qui devrait s'intéresser à NIS2 ?

Le NIS2 concerne toutes les entités qui fournissent des services essentiels ou importants à l'économie et à la société européennes, y compris les entreprises et les fournisseurs. Les secteurs couverts par le NIS2 comprennent les "entités importantes" et les "entités essentielles". Les entités essentielles sont celles qui fournissent des services de santé, d'énergie et de transport et pour lesquelles une interruption des services pourrait avoir de graves conséquences sur la société ou l'économie. Les entités importantes comprennent les entreprises manufacturières, les services postaux, la gestion des déchets et les fournisseurs numériques tels que les moteurs de recherche, les réseaux sociaux et les places de marché en ligne.

Bien que le NIS2 couvre les deux types de secteurs, les exigences de conformité diffèrent pour chacun d'entre eux. Par exemple, les entités essentielles doivent effectuer des audits plus régulièrement que les entités importantes. Mais même les petites entreprises ne sont pas nécessairement exclues, car les États membres peuvent mettre à jour certaines exigences relevant de leur compétence, par exemple en exigeant davantage d'audits de la part de tout fournisseur de services gouvernementaux.

Qu'en est-il des solutions open-source ?

Le NIS2 reconnaît la valeur des outils et des normes de cybersécurité sur le site open-source , en particulier lorsqu'il s'agit de minimiser les coûts pour les petites et moyennes entreprises. Cela dit, la directive exige que les organisations qui utilisent ces solutions open-source les appliquent de manière durable. 

Par exemple, le considérant 52 stipule ce qui suit : "Open-source les outils et applications de cybersécurité peuvent contribuer à un degré d'ouverture plus élevé et avoir un impact positif sur l'efficacité de l'innovation industrielle. Les normes ouvertes facilitent l'interopérabilité entre les outils de sécurité, au bénéfice de la sécurité des acteurs industriels."

Comment le NIS2 s'inscrit-il dans le cadre plus large de la cybersécurité ?

NIS2 est l'une des nombreuses directives, normes et réglementations utilisées dans le monde entier et souvent en combinaison avec d'autres. Les normes exactes qui s'appliquent à chaque entreprise dépendent du secteur d'activité et de la géographie, entre autres facteurs, mais il est important de connaître chacune de ces exigences mondiales. D'une manière générale, nous entrons dans une période où les entreprises doivent avoir une meilleure connaissance et une meilleure mise en œuvre des politiques de cybersécurité et de gestion des risques.

Préparation au NIS2 : ce que les entités couvertes doivent faire maintenant

Il est important de commencer dès maintenant à planifier et à budgétiser le NIS2, car la mise en conformité avec la nouvelle directive pourrait nécessiter une augmentation du budget de 10 à 20 % en fonction du secteur, de la géographie et de la conformité avec d'autres normes, y compris le NIS1.

Qu'est-ce que la conformité implique exactement ? Au plus haut niveau, les entreprises doivent "prendre des mesures techniques et opérationnelles appropriées et proportionnées". Cela signifie qu'un incident touchant certaines organisations pourrait avoir un effet d'avalanche et entraîner d'importantes perturbations pour d'autres entreprises ou pour la société en général. Par conséquent, les organisations - en particulier celles qui sont considérées comme des entités essentielles - doivent préparer leurs mesures de sécurité en gardant à l'esprit ces impacts en aval. 

Pour commencer, les organisations doivent prendre deux mesures essentielles :

  • Auto-évaluation : Une auto-évaluation est importante pour tout type de conformité en matière de sécurité. Cette évaluation doit passer en revue les risques potentiels et les mesures de réponse, de manière à ce que les membres de l'équipe puissent prendre des mesures pour atténuer les risques de manière proactive et s'assurer que les protocoles de réponse appropriés sont en place. Ces mesures permettent de mieux préparer les équipes, de réduire les risques et d'assurer la continuité des activités en cas d'incident.
  • Rapports : Les exigences en matière de rapports de la norme NIS2 sont beaucoup plus strictes que celles de la norme NIS1, exigeant des organisations qu'elles disposent à tout moment d'un état de conformité. Cela nécessite une compréhension approfondie des pratiques de signalement des incidents et de continuité des activités, ainsi qu'une grande visibilité dans l'ensemble de l'organisation, ce qui signifie qu'une simple feuille de calcul ne suffira pas. En outre, il est important de noter que les dirigeants et le conseil d'administration sont directement responsables de ces rapports, ce qui rend la formation aux protocoles tout aussi essentielle.

D'une manière générale, la préparation à la conformité NIS2 est une excellente occasion de mettre à jour les technologies existantes, car les infrastructures fragiles n'assureront probablement pas le niveau nécessaire de continuité des activités. Dans de nombreux cas, les organisations peuvent estimer que l'externalisation de certains services de support leur apportera plus d'expertise et de supervision qu'elles ne peuvent en fournir en interne.

Comprendre la situation dans son ensemble : la place de PKI et de la gestion des certificats dans la conformité à NIS2

PKI et la gestion des certificats deviennent particulièrement importantes pour les organisations lorsqu'il s'agit de la conformité à NIS2. En effet, la nouvelle directive exige que les organisations introduisent les principes suivants principes de confiance zéro (par exemple, grâce à l'authentification multifactorielle), des mises à jour régulières de software , la segmentation du réseau, la gestion des identités et des accès, la signature de code, et bien d'autres choses encore, qui reposent toutes sur PKI et nécessitent une une bonne gestion des certificats pour bien faire.

Il est important que les organisations investissent dans l'infrastructure appropriée de manière proactive plutôt que d'attendre qu'un problème survienne. Cette infrastructure doit être résiliente et évolutive pour assurer le niveau nécessaire de continuité des activités. Elle doit également offrir un haut niveau de visibilité et d'agilité pour comprendre l'ensemble du paysage des identités et émettre de nouveaux certificats si nécessaire.

Les organisations devraient commencer par se concentrer sur trois domaines clés :

  • Faire l'inventaire : Faites l'inventaire de tous les services et de toutes les identités pour vous assurer que tout est identifié et qu'ils sont tous conformes. Prenez des mesures pour améliorer la visibilité et la conformité si nécessaire.
  • Examiner les services : Veillez à ce que les services ne soient pas surchargés. Souvent, les organisations utilisent la même infrastructure à deux fins différentes (par exemple, pour des besoins externes et internes), mais cela ne fonctionne pas bien à long terme et crée davantage d'opportunités de risques.
  • Introduire l'automatisation du cycle de vie des certificats : L'automatisation du cycle de vie des certificats automatisation du cycle de vie des certificats peut permettre d'éviter les pannes et donc d'assurer la continuité de l'activité. L'automatisation du cycle de vie des certificats permet aux équipes de conserver une visibilité sur les certificats une fois qu'ils sont émis et de les remplacer facilement en cas de besoin, que ce soit parce qu'ils arrivent à expiration ou qu'ils ne sont plus fiables.

NIS2 arrive : votre équipe est-elle prête ?

L'application de la directive NIS2 est imminente et il est temps d'agir. La nouvelle directive améliore et développe le NIS1, de sorte que même les organisations qui se conforment déjà à la directive originale devront procéder à des mises à jour.

La mise en conformité avec le NIS2 n'est pas une chose que les organisations doivent prendre à la légère, et le fait de trouver les bons partenaires pour les aider tout au long du processus peut faire toute la différence lorsqu'il s'agit de réduire les risques et d'éviter les pénalités.

Pour en savoir plus sur ce qui est impliqué, regardez l'intégralité de notre webinaire avec les experts en cybersécurité de Keyfactorici.